株式会社網屋主催のイベント「Security BLAZE 2024」において、サイバーセキュリティの最前線で40年、進化し続ける攻撃手法と防御技術の終わりなき戦いを、株式会社サイバーディフェンス研究所の名和利男氏が解説しました。1980年代の初期マルウェアから最新のAI活用まで、時代とともに変化する脅威の実態と、企業が取るべき対策を明らかにする。クラウド時代の新たなリスクや、経営課題としてのサイバーセキュリティの重要性にも言及。刻々と変化する脅威に立ち向かうための、最新のサイバーディフェンス戦略を紹介します。
40年にわたるサイバーセキュリティの進化
名和利男氏:サイバーセキュリティを専門としている名和と申します。本日は約30分間の時間をいただきまして、「私たちの防御を回避する攻撃テクニックの理解と進展」というタイトルで、さまざまな観点から説明したいと思います。今スライドに出ている3つの観点でお伝えできればと思います。
まず、1つ目です。事前にみなさんには、講演概要をネットなどでお伝えしていると思いますが、「脅威アクター(デジタル領域に意図的に危害を加える個人または組織)」の攻撃戦略はかなり変わっています。その変わっている方向性というのは、堅牢性と私たちの防御に対する適応性です。これには約40年近くの歴史があります。それをひもといてから、現在の防御回避、あるいはこれがなぜ重要なのかを説明できればと思っています。
まず、オーバービューを話しますと、1980年初期のマルウェアから、最近のAIと新技術の活用までを並べてみました。ここに書いてあるように、10年単位で、これまでの歴史を振り返ってみたいと思います。
1980年代:初期マルウェアと基本的な隠蔽技術の台頭
まず1つ目は、初期のマルウェアです。これは、コンピュータセキュリティの概念が、まだ十分に発達していませんでした。したがって、こちらに書いてあるような基本的な隠蔽技術など、ほとんどが成功してしまったようです。
この時代は「Morris worm(モリスワーム)」という、米軍が作ったインターネットの前身にようなものの中で、東海岸から西海岸に、今で言うところのマルウェア、昔で言うところのコンピュータウイルスに相当するものが伝搬していった事件がありました。これも、この6つあるもののうち、複数を備えたものです。現在でもたまに、この(6つの)技術は利用されてれてしまっています。
例えばシステムリソースの最小化。かなり古いコンピュータウイルスは動作と、サーバーシステムあるいは端末のターミナルシステムが止まりかけることもありました。それを受けて、この時代から、コンピュータウイルスが動いていることを気づかせないように、という配慮が幾多もありました。
ただ、映画の世界で見る当時のコンピュータウイルスは、ブタさんが笑っていたり、あるいはアヒルさんがワァワァ喚くような、ちょっとおもしろおかしく伝えているようなものもありますが、実際にはこれらの防御回避技術なるものが、かなりウエイトを占めていたようです。
1990年代:ステルス戦争と、マルウェアvs防御の技術競争
1990年代、ステルス技術の出現です。この時代は、私たちのような防御する側のアンチウイルス対策ソフト、それからIDS・IPSといわれている侵入検知システムが急速に発達しました。
(それに対して)マルウェアあるいはコンピュータウイルスは、ルートキット(OSのコア部分に隠れて検知を回避するもの)へと自身の能力を拡大していきました。ルートキットの登場と進化については、数多くのサブストーリーがあります。これを括弧書きで書いています。
次に「ポリモーフィックマルウェア」の出現。これについても、当時としては画期的だったと言われていますが、今となってはかなりレガシーなものになっています。あと、高度な隠蔽技術である「アンチデバッグ」「アンチウイルス」などについては、現在もこの基礎技術が使われています。
それから、あえて日本語で書いていますが、いわゆる「ソーシャルエンジニアリング」。これは社会工学的手法ですね。これが1980年代よりも高度化していった。そういう時代でした。
2000年代:サイバー攻防戦の激化、技術の爆発的進化
そして2000年代になると、いよいよ高度化・多様化が進みます。この時代は攻撃技術も、それからIT技術も、どんどん進化していきました。そこでさまざまな事案が発生しましたが、セキュリティ業界では行動ベースの検出が始まりました。これはヒューリスティック(発見的手法)なところをベースにしたものと捉えていいと思います。
それからこの時代から、AIではありませんが、機械学習を用いた異常検知、サンドボックス解析など、かなり目新しい技術がどんどん出てきました。そして、以前よりもかなり高度な防御技術が出てきたことも、みなさんどこかで記憶していると思います。
具体的には、スパイウェアとアドウェアの防御回避テクニック、ブラウザの拡張機能を悪用する。これで情報が抜かれて、日本のある大学で深刻な状況になったこともあります。
ボットネットの大規模化に伴う防御回避もありました。そしてつい最近では、ボットネットそのものが別なものに変わりました。管理されていないIoT、あるいは中小企業レベルの方が使う安価なルーターが、ボットネットのようなものになり始めています。
ただ、その基礎的な(防御回避)技術は、2000年代から急激に堅牢なものになってしまいました。暗号化技術を用いたマルウェア。これはハッカーの進化です。マルウェア解析者には、非常にすばらしい方が日本でも数多くいますが、この時代に、マルウェア解析者が一気に増えたような印象があります。
新たな防御回避テクニックとしては、サンドボックス検知やタイムベース実行。これはこの時代、非常に多くなりました。特に2010年ぐらいから、これが騒がれるようになったと記憶しています。
そして、こちらはカタカナで書いていますが、ソーシャルエンジニアリングの高度化。先ほどは「社会工学」と書きましたが、日本では、この「ソーシャルエンジニアリング」という言葉が一般化した時期なので、あえてこのように記載しました。
そして「水飲み場攻撃」。これは日本の有名なセキュリティ会社の社長さんが付けたといわれています。次に「ゼロデイ脆弱性の活用」。未知の脆弱性を利用するというものが、この時代からどんどん増えてきて、今では当たり前のようになりつつあります。
2010年代:標的型攻撃の洗練化と経営課題化
そして、現在の少し前ですね。2010年代です。標的型攻撃の洗練化の時代です。この時代から、経産省の配下の「IPA」、あるいは内閣官房の「NISC」、それから警察の関係する団体などが、一斉に「標的型攻撃」という言葉を使い始めたと思います。そこで、今でも私たちがよく目にするようなソリューション名が出てきました。「振る舞い分析」「機械学習ベースの異常検知」「EDR」などです。
ここで、一番初めに書いている行をご覧ください。「非常に検出が困難になってきた」、これを他の国では「潜在化した脅威」(potential cyber threat)という言い方をすることがあります。要は、それまでの技術では見つからなくなってきたということです。
皮肉なことに、攻撃技術も並行して高度化してきました。したがって、2つの異なる分野で高度化したということです。(このスライドでは)その1つの側面を言っているだけにすぎません。
また「より高度で包括的な」という、ここで初めて組織全体で行う「包括的なアプローチ」が必要になりました。こうしていつしか、この時代から「サイバーセキュリティ」という言葉が浸透し、現場である情報システム部門、サイバーセキュリティ部門、あるいは現在はCSIRTと言われているところが中心となっていったところから、経営者の問題へと切り替わってきました。
あまりにもこの検知回避に関わる技術が多いので、ざくっとまとめたものがこちらです。
また、2000年代のところでは「ソーシャルエンジニアリング」とカタカナで表記しましたが、それでは説明がつかないようなものもたくさん出てきました。バイアスを避けるために、こちらはあえて、また漢字で「社会工学的手法の進化」と書きました。
現在:AIとゼロトラストが主役の攻防
そして、現在です。新しい防御回避テクニックが次々に出ています。本日も2,000以上の記事を読んできたのですが、新しい防御回避テクニックが、まだマイノリティですが4〜5個ぐらいありました。
そして、英語になっていないものもありました。しかし時間の経過とともに、これが英語圏、そしてアジア圏に浸透していきます。そして、大きな影響を与えるだろうと想像します。
そのため、近い未来の新しい回避技術、あるいはここに書いてあるような技術と相まったものを防ぐようなコンセプトを持ったものが、「ゼロトラストアーキテクチャ」になります。
あるいは、これまでの人間が作ってきたさまざまな攻撃の流れをもっと早く予測・予見して、少し未来の攻撃もカバーできるようにということで、機械学習からAIを活用した防御に、今転換しつつあります。
攻撃者は重要なところを狙いますが、重要なところのセキュリティ対策は、包括的なものに移行してきていることで、(攻撃する側にとって)費用対効果のない状況になりつつあります。
そこで、私たちがDX、あるいは相互依存を強めている状況を利用して、サプライチェーン、委託先、調達先に対する攻撃を仕掛けて、それらを経由することで、最終目標である重要な組織の内部から入っていく。これが一気に広がっています。
これに関する彼らの回避技術は、(スライドには)文字列がたくさんあります。これらを全部説明すると、恐らく夕方までかかるので控えますが、最後にある新興技術を利用した攻撃については、すでにある主要国のサイバー攻撃部隊に相当するところが採用した、というニュースも出ていました。
恐らく、悪者たちの手にも渡るんだろうと。あるいは立場を変えると、敵対国に渡ることもあります。いずれも私たちにとって深刻な「脅威アクター」になりますね。
「防御回避が最大の脅威に」という事実
以上、クイックでこれまでの状況を振り返ってみました。ここ数年、「防御回避」という言葉が(頻繁に)出てくるようになりました。そして攻撃技術の進化により、はるかに(防御を)凌駕するテクニックが増えてきている現状があります。それをどのようにみなさんに伝えたらいいかなということで、すごく悩んだんですが。
こちらはMITRE社が出している「ATT&CK」から持ってきたものです。これは平たい言葉で言いますと、私たちがこれまで識別できた攻撃を素因数分解したみたいなものにして、それらを分類してまとめ上げたものです。
これをマークダウンというテキスト形式に変えて、私がよく使っているノートテイキングアプリである「Obsidian」に入れて、Graphというツールを使うと、いわゆるマインドマップのようなかたちで表記してくれます。
それぞれのマルは大きな(技術の)ノードですが、どの技術がひも付いているかを客観的に見るために、一番大きいところをハイライトしてみました。それが「Defense Evasion」、すなわち防御回避です。今私たちが対峙しなければならない(これらの)小さな単位の技術において、最も多い分類がDefense Evasionとなっています。
ちなみに、ここには(濃く)書かれていませんが、右のほうに薄く「Discovery」と書かれているのが見えるかと思います。Discoveryは「侵入後」、英語では「Post-Exploitation」と言いますが、そこでいち早く使われるテクニックです。
まず内部に入ると、最初は何も見えないので、それを見つけるテクニックが非常に多くなっている。そして見つけた後は、それを見つからないように横展開したり、あるいは縦方向で言うと権限昇格などを行っていく。これを確実にするためのDefense Evasionテクニックが、40数個ぐらいあります。
AIによるペネトレーションテストの時代へ
これを全部理解しないといけないんですが、恐らく人間でこれをすべて理解している方はいないと思います。理由は、単に40数個と言いましたが、1つ当たり、多いもので100以上の事例、またはサブ的なテクニックが数多くあります。そして皮肉なことに、数週間単位でそのトレンドは変わってきます。
ただ、デジタルフォレンジック(デジタル鑑識)を専門としている者、ペネトレーション(侵入などの攻撃を行い安全性を確認すること)を専門としている者は、このすべてを使いこなせないといけない。ただ、人間にはすべて使いこなすことはできない。そこでAIを使ってペネトレーションテストをするような取り組みも、欧州や米国の一部で行われています。
(それにより)人間では見つからないものも見つかるようになってきました。では、これを最近のデジタルフォレンジックによる調査、あるいはペネトレーションテストを行った経験に基づいて、特に日本においてどのような特徴があるのか。これはあくまで私がリードを執っている、または参画しているチームにおける経験から抽出したものです。
AndroidからGitHubまで広がる攻撃の波
まず1つ目は、高度な権限昇格と認証操作の悪用です。(攻撃者の)目的はセキュリティ制限を回避することです。通常ではアクセスできないリソースにアクセスするために権限昇格をする、と。
これは以前からあるように見えて、当たり前だと思う方もいると思います。私もそう思いました。しかし、毎日情報収集していると、けっこう増えてきています。最近では、Google Android OSでこの脆弱性が発見され、速やかにセキュリティパッチを当てる、あるいはアップデートをするように呼びかけられています。
少し古い事例ですが、あまりにもインパクトがあったのは、GitHubにおけるOAuthトークンの盗難です。これは他の分野においても発生しています。トークンに関する問題については、さまざまなところで2017年頃から議論されており、2020年からは、当たり前のように2要素認証や多要素認証が乗っ取られる1つの要因にもなっています。
フォレンジック調査を翻弄する、見えざる脅威
次に、ファイルとデータの難読化、そして暗号化です。これは先ほど何度かお伝えしたデジタルフォレンジック調査、あるいは役所のほうではシンプルに「コンピュータ調査」と呼んでいるところもありますが、そこで外部のセキュリティ専門家たちが調査・解析をするわけです。この解析をできなくする、また攻撃者の観点では、解析されるのを防ぐためのテクニックと捉えてもらえれば思います。
実際、2024年の5月、8月に、かなりの事象が発生していました。ランサムウェアオペレーターも、難読化されたファイルやスクリプトを使用して検出を回避することに勤しんでいるものも複数あります。
難読化されたPGP秘密鍵に見せかけたファイルが実行された例もあります。これらは目視はできません。調べるには一つひとつのファイルを確認しないといけませんが、その数は1つのPCのフォレンジックで数万から、場合によってはもっと多い数のファイルを見なければならず、それを人力でやるのは不可能です。
このような攻撃の存在を知っている者しか(フォレンジックは)できない。デジタルフォレンジックを行っている方は、相当大変です。そしてその人数は、希少になってしまっています。
ランサムウェアからスタクスネットまで、見えない敵との果てなき戦い
次に、正当なプロセスの悪用です。これはセキュリティの監視の対象外になることが大きな目的です。そして私たちは、その攻撃の発見が困難になります。
最近、ランサムウェア攻撃を受けたのに「なかなか分析できない」、あるいは「報告が遅い」などと周囲から言われることがあります。しかし現場に行くと、できないことがよくわかります。事前に準備しないところがほとんどで、これは全世界の民間企業がそうです。
そうすると、そこから勉強する。そこから、誰がわかっているかわからない専門家を招へいする。博打みたいなものです。本当に遅れてしまいます。それを攻撃者はよく理解しているようです。
実際、脆弱性が出ると、ものすごい早さでそれを使います。例えば「CVE-2024-38112」。(私は)何度もこの文字列を読みました。私が対応した経験があるからです。これは正規のシステムバイナリを介して、悪意のあるコードを実行するものです。至極当然に昔からあるものですが、この仕組みは非常に興味深いものがありました。
信頼された開発者向けのユーティリティを悪用する、というものも以前からあります。「スタックスネット」といわれているある国の取り組みで、イランのナタンズの原子力関係の開発を遅らせた、といういわくつきのものです。
そこでは、あるソフトウェアの本物の公開鍵あるいは秘密鍵などを他から盗んで使ったと言われています。それをダイナミックに行いますが、そこから着想を得たのか、あるいはそこから発展したまたは枝分かれしたようなやり方が、日に日に多くなっている状況です。(こうなると)何を信じればいいか、わからなくなることもあります。
便利さの裏に潜む、インフラ改ざんの脅威
次に、システム設定とインフラの改ざんです。最近、「オンプレミスの◯◯」とか「クラウドサービスの◯◯」という、利便性のいいものが非常に増えてきました。そして、あまりIT成熟度の高くないエンジニアでも利用できるようになりました。しかし、設定は複雑化してきており、適切に設定するには知識と経験が必要です。特に、(その状況において)セキュリティを意識した設定は意外に難しいです。
その設定をどうやってやればいいのか。必ずオンラインのマニュアルとか、またはベンダーが提供しているトレーニングを受けないとできません。攻撃者はそれをもっと勉強しています。
そして、その設定の変更の仕方あるいは裏技みたいなものがあり、それをすることによって、検知できる機能を切ったり、またはそのしきい値を変えて、自分たちの攻撃活動の検知がされないようにできてしまっています。
(事例として)「ミッドナイトブリザード」がありますが、これはMicrosoftが出した非常にすばらしい知見集です。攻撃者はシステム設定の重要な部分を操作することがありますが、(それについて)どういうテクニックがあるのか、非常によくまとめています。
2024年1月に出たものですが、あまり読まれていないと聞いています。国家アクターに狙われやすい重要インフラ事業者、あるいは基幹インフラの分野にいる多くの事業者・ITベンダーも、これを読むことを推奨します。
クラウド時代の利便性が招く新たなセキュリティリスク
仮想化とサンドボックスの回避です。分析ツールを回避する。これは分析者、デジタルフォレンジックの調査を行う方を泣かせるようなものです。2024年7月に出た報告によると、攻撃者は、自分たちが動いているところがサンドボックスか否かを識別し、異常を見つけた場合、悪意のある動作を停止できるようになりました。
この停止は以前からあったのですが、変な言い方ですが、停止の仕方が非常に美しくなりました。「ここまでできるなら、もっとできるな」と思うぐらいに洗練されていました。これが存在することをきちんと理解した上で疑っていかないといけないと。
また、データ侵害レポートでは、攻撃者はデータ通信を解析し、暗号化されている情報を狙うという皮肉な状況が示されています。APIの脆弱性に関わる情報漏洩は非常に多くありますが、以前から大量のデータが抜かれていたようです。
最近は、特定のAPIにおいては、脆弱性を使って、あえて暗号化されているデータのみを狙っているようです。そこに価値があるデータが集まりやすいと理解しているようです。
事業部門の勝手がもたらすセキュリティギャップの脅威
環境固有の攻撃手法。これはクラウドそのものを狙ったものです。これまでは、ITに詳しい部門、あるいはサイバーセキュリティの専門であるCSIRTが、自分たちのオーナーシップを持っているところはちゃんと理解していました。
しかし、クラウドサービスになると、事業部門が勝手に使ってしまうところがどうしても出てきます。そうすると、知識・経験の差が如実に表れます。これがセキュリティギャップです。
これに対する問題は、2024年の春から夏にかけてたくさん出てきました。今日もいくつかの国で、クラウドコンピューティングに関する設定ミス、あるいはそもそもインターネットに露出しているところが脆弱で、攻撃者に入ってくれと言わんばかりのものがあったりしたようです。これは日本ではありませんが、毎日のように発生しています。
では、クラウドコンピュータはそれほど不安全かというと、そうではありません。きちんとセキュリティを考えて、設定もできるようになっています。しかし、後から追加できるもの、連携できるものもあって、そこの部分については、責任分界点が曖昧になってしまいます。そこを攻撃者が突いているようです。
正規プログラムを装う巧妙な攻撃と、その驚くべき進化
最後に、実行フローのハイジャックです。(これは)行動を隠蔽して、彼らの攻撃活動である動作も隠すことを目的としています。
これも今年、幾多もありました。正規のプログラムの実行経路を不正に変更する。正規のプログラムの「実行経路」を不正に、です。これを理解するには、ソフトウェア開発、チューニング、あるいはマルウェア解析の知識が必要かもしれません。これを理解すると、「ここまできたか」と思えるところがあるのかなと思います。
以上、簡単ですが、どのようなテクニック、また今現在進行中なのか、そのトピックを現場の経験からお伝えしました。もちろん、さまざまな論文とか、または数多くのセキュリティウェアが出しているものからすると、ごく一部であることは、みなさんはどこかでお気づきになっているかもしれません。
振る舞い分析からゼロトラストまで、現代のサイバーディフェンス戦略
最後に、進展速度を早める「脅威アクター」の攻撃戦略に適応した、私たちの効果的な対策と、セキュリティ体制の強化方法を紹介します。
まず、こちらです。テクニカルの部分については、恐らく私以外のプロダクトを提供している専門の方が、よりわかりやすく、よりすばらしいトークをしてもらえると思うので、私のほうとしては、まとめ的なところに終始したいと思います。
まず、振る舞い分析。それ以前に、指名手配型の、何か悪いものを見つけるというのは、今でもちゃんと有効です。なぜなら想定の脅威を与えるのは、子どもたちだったり、あるいは不勉強な若者による攻撃だと考えられるからです。
これは昔、誰かが作った攻撃の手法をマネたり、あるいは現存している(昔の)攻撃ツールが、まだまだいっぱいあることに起因します。それを再利用することが発生しています。これは意外にも、攻撃者全体の大多数と思ってください。この想定する脅威アクターはおこちゃまです。
しかし、大人、特に特別な訓練と指揮命令系統があるような「国家アクター」になると、人口比はごくわずかでも、全体の5割、6割以上のインパクトを与えることができてしまいます。特に重要インフラとか基幹インフラ分野の事業者については、注意が必要です。そこにおいては、振る舞い分析にシフトしなければ、見つからなくなってしまいます。
それだけでは見つからないものもあります。徹底的に自分たちを隠すこともできているものもあります。したがって、機械学習ベースで異常検知、あるいはそれを早期に見つけ、全体像がわかるようなEDR、NDR、SIEM、XDRによる「統合防御」が必要になってきます。
それに加えて、「リアルタイム脅威インテリジェンス」の取り入れです。今、脅威は24時間7日どんどん変わっています。私はアジア地域のリサーチと分析の活動を中心に行っています。深夜寝て朝起きると、欧州のほうからの情報が入ってきます。そして、劇的に変わっているものも時々あります。
このような情報を早期に検知・取得して、それを人間の手ではなく、APIや特別な仕組みで、自分たちが持っている検知システムに組み入れると、見つからなかったものが見つかることが期待できます。
あるいは、どのようなユーザーであっても、一つひとつ丁寧に認証・認可を繰り返すという「ゼロトラストアーキテクチャ」という考え方を使えば防げるものもあります。これは、たとえ自分の友だち・同僚であっても、あるいはそれが内部ネットワークであっても、そこに入ってくる外部者がいることを想定して、全員同じ検証をしましょうという考え方です。
次に、社員教育と意識向上は、この中で最も重要かもしれません。徹底的に行うことを強く推奨しています。
事例研究とストーリーテリングで描く「痛み」と「対策」
最後に、これだけ現場の方が理解しても、中間層、そして経営層が理解していないことがあります。そのために何をすればいいのか? 彼らを言葉だけで行動変容を起こさせることは厳しいです。なので、いろいろなストーリーを提供することをお勧めします。サイバー攻撃の被害がもたらす財務的・信頼的リスクなど、彼らにとっての“泣きどころ”を伝えることが重要です。
では、具体的には何か? 2つあります。事例研究、そしてストーリーテリングです。「何がどうなって、そしてこうなるんだ」ということを、彼らの言葉で伝えることが重要です。
これを政府のほうでは「橋渡し人材」と言っていますが、けっこう大変です。自分の職務以上の情報と知識が必要になってきます。しかし、誰かがやらないといけない。これをやっていくための指針として、事例研究とストーリーテリングを紹介しました。
私からの話は以上です。ありがとうございました。
【登壇者:名和利男氏】
海上自衛隊において護衛艦の戦闘情報中枢の業務に従事した後、航空自衛隊において防空指揮システムのセキュリティ担当業務等に従事。その後JPCERT/CC等での経験を経て、サイバーディフェンス研究所等に参加。専門分野である情報分析とインシデントハンドリングの経験と実績を活かし、サイバー演習やアナリストトレーニング等の能力向上支援を提供。近年は、サイバー脅威インテリジェンス(特に地政学リスク)、宇宙安全保障やアクティブディフェンスに関する業務に従事。
■「Security BLAZE 2024」
2024年11月13日~14日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。
サイバーセキュリティの最新動向や脅威への対策などを中心に計30セッションが開催され、そのうち20セッションを順次ログミーでもお届けします。